Temui Worok, grup spionase dunia maya yang menyembunyikan malware di dalam file gambar PNG

Sesuatu yang kecil: Peneliti keamanan telah menemukan ancaman malware baru yang dirancang untuk menyalahgunakan teknik steganografi. Worok tampaknya merupakan operasi spionase elektronik yang kompleks yang tahapan individualnya sebagian masih belum jelas. Namun, tujuan akhir dari operasi itu dikonfirmasi oleh dua perusahaan keamanan.

Worok menggunakan malware multi-tahap yang dirancang untuk mencuri data dan membahayakan korban terkenal, menggunakan teknik steganografi untuk menyembunyikan bagian dari muatan akhir dalam file gambar PNG biasa. Malware baru pertama kali ditemukan oleh ESET pada bulan September.

Perusahaan menggambarkan Worok sebagai rangkaian mata-mata elektronik baru yang menggunakan alat tidak berdokumen, termasuk rutinitas steganografi yang dirancang untuk mengekstrak muatan berbahaya dari file gambar PNG biasa. Versi gambar yang tercantum ditunjukkan di bawah ini.

Operator Worok telah menargetkan korban terkenal seperti lembaga pemerintah, dengan fokus khusus di Timur Tengah, Asia Tenggara dan Afrika Selatan. Pengetahuan ESET tentang rantai serangan ancaman terbatas, tetapi analisis baru dari Avast kini memberikan detail tambahan tentang proses ini.

Avast menyarankan agar Worok menggunakan desain multi-tahap yang kompleks untuk menyamarkan aktivitasnya. Metode yang digunakan untuk meretas jaringan masih belum diketahui; Setelah digunakan, tahap pertama menyalahgunakan sideload DLL untuk mengeksekusi malware CLRLoader di memori. Modul CLRLoader kemudian digunakan untuk mengimplementasikan DLL tahap kedua (PNGLoader), yang mengekstrak byte tertentu yang tersembunyi di dalam file gambar PNG. Bytes ini digunakan untuk mengelompokkan dua file yang dapat dieksekusi.

Steganografi Worok dikenal sebagai Least Significant Bit Encoding, yang menyembunyikan bit kecil kode berbahaya dalam “bit terendah” dalam piksel tertentu dalam gambar yang dapat dipulihkan nanti.

Muatan pertama dengan cara ini adalah skrip PowerShell yang belum bisa diambil sampelnya oleh ESET maupun Avast. Muatan kedua adalah pencurian informasi khusus dan modul pintu belakang yang disebut DropBoxControl, prosedur yang ditulis dalam .NET C#, yang dirancang untuk menerima perintah jarak jauh dari akun Dropbox yang disusupi.

DropBoxControl dapat melakukan banyak – dan berpotensi berbahaya – tindakan, termasuk kemampuan untuk menjalankan perintah “cmd /c” dengan parameter tertentu, menjalankan file biner yang dapat dieksekusi, mengunduh data dari Dropbox ke mesin yang terinfeksi (Windows), dan menghapus data yang ada di sistem, mencuri informasi sistem atau file dari direktori tertentu, dan banyak lagi.

Sementara analis masih mengumpulkan semua bagian, investigasi Avast menegaskan bahwa Worok adalah operasi khusus yang dirancang untuk mencuri data, spionase, dan menempatkan korban profil tinggi pada risiko di wilayah tertentu di dunia.